Местами облачный октябрь: обнаружен продолжатель дела APT RedOctober

Центр глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT) недавно раскрыл подробности многомесячного мониторинга новой APT под кодовым обозначением Cloud Atlas, названной так в честь знаменитого фильма Вачовски-Тыквера. Это сложная кибершпионская операция является «духовным наследником» кампании RedOctober и, скорее всего, за ней стоят те же самые люди.

Операция RedOctober была спешно свёрнута сразу после публикации «Лаборатории Касперского» в январе 2013 года. Если учесть глобальный характер и крупные вложения в кампанию, не было никаких оснований предполагать, что RedOctober полностью сойдёт со сцены.

Cloud Atlas была впервые обнаружена в августе 2014 года Некоторые из пользователей продуктов «Лаборатории Касперского» засекли направленные атаки с использованием варианта CVE-2012-0158 и необычного набора вредоносных программ.

Местами облачный октябрь: обнаружен продолжатель дела #APT RedOctober

Tweet

Вышеупомянутая уязвимость присутствовала в Windows Common Controls и допускала возможность удалённого исполнения кода. Она затрагивала большое количество продуктов Microsoft, а именно 32-разрядные версии Microsoft Office 2003, 2007 и 2010, Microsoft SQL Server 2000, 2005, 2008 и 2008 R2, а также Fox Pro, Visual Basic и другое серверное программное обеспечение Microsoft. Это довольно большая площадь атаки. Тем не менее, начальный вектор атаки Cloud Atlas был направлен на документы Microsoft Word (со старым расширением файла .doc). Большинство документов в перечне GReAT имеют русские названия. Тем не менее, один из них – тот самый, который вызвал подозрения в том, что Cloud Atlas может быть связан с RedOctober, — значится под именем «Car for sale.doc». В RedOctober использовался «Diplomatic Car for Sale.doc».

Дальнейший анализ подтвердил предположение: налицо несколько технических сходств, показывающих, что (вероятнее всего) те же люди, которые создавали вредоносные инструменты для RedOctober, поработали и с Cloud Atlas.

Cходства:

• Вредоносные имплантаты как Cloud Atlas, так и RedOctober используют сходные конструкции загрузки и конечной полезной нагрузки, которая хранится, шифруется и сжимается в стороннем файле. При этом алгоритмы шифрования используются разные.
• Обе вредоносные программы несут в себе один код алгоритма сжатия LZMA. В Cloud Atlas он используется для архивации логов и распаковки расшифрованной полезной нагрузки с серверов C&C, в то время как в RedOctober плагин «планировщика» применяет его для распаковки исполняемых файлов полезной нагрузки с командно-контрольных серверов. Реализация алгоритма идентична в обоих вредоносных модулях, но способы вызова отличаются.
• Двоичные файлы и RedOctober, и Cloud Atlas выглядят скомпилированными посредством одной и той же версии Microsoft Visual Studio вплоть до номера сборки версии и с использованием аналогичных конфигураций проекта. Наличествует чёткое «перекрытие целей» между RedOctober и Cloud Atlas при условии расположения большинства мишеней в России и Казахстане.
• Самый выдающейся и отличительной чертой APT Cloud Atlas является тот факт, что эксплойт не прописывает бэкдор непосредственно на диске. Вместо этого он размещает зашифрованный скрипт Visual Basic, который сбрасывает полиморфный загрузчик и зашифрованную полезную нагрузку, которая каждый раз получает другое имя. Для обеспечения непрерывности также добавляется ключ реестра в HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.

Cloud Atlas действительно является продолжением RedOctober — крупномасштабной кибершпионской операции, ориентированной на всё те же мишени — военных, дипломатов и т.д.

#CloudAtlas нацелен на те же мишени, что и #RedOctober

Tweet

Данная APT-кампания может представлять угрозу для тесно связанного с мишенями бизнеса (он может использоваться в качестве источника дополнительных «плечевых» данных для проведения будущих спиэрфишинговых атак). Больше всего беспокойства здесь вызывает тот фактор, что приёмы и методы APT вскоре перестанут быть исключительным инструментарием кибершпионажа (явно политического характера). В GReAT «Лаборатории Касперского» ожидают, по крайней мере, частичного «слияния» APT и «обычных» киберпреступлений в ближайшем будущем. Мы рекомендуем ИТ-специалистам уделить пристальное внимание APT, даже если их работодатели не имеют никакого отношения к тем отраслям промышленности, на которые APT направлены сегодня.

Подробный технический отчет доступен здесь.